MiniFast Backdoor

Actorul cibernetic sponsorizat de statul iranian, cunoscut sub numele de Nimbus Manticore, legat de Corpul Gărzilor Revoluționare Islamice, urmărit și ca Screening Serpens și UNC1549, și-a intensificat campaniile cibernetice împotriva organizațiilor din Statele Unite, Europa și Orientul Mijlociu în urma atacurilor comune americano-israeliene asupra Iranului din februarie 2026. Grupul a vizat companii din industria aviatică și software folosind tehnici de intruziune și metode de distribuire a programelor malware din ce în ce mai sofisticate.

Cercetătorii în domeniul securității au identificat mai multe modificări operaționale care disting cele mai recente campanii de activitățile anterioare. Acestea includ introducerea unui nou backdoor numit MiniFast, utilizarea extinsă a deturnării AppDomain și o orientare strategică către otrăvirea SEO pentru a infecta victimele prin intermediul unor portaluri false de descărcare de software. Analiștii au descoperit, de asemenea, indicatori care sugerează că dezvoltarea asistată de inteligență artificială ar fi putut accelera crearea malware-ului.

De la oferte de muncă false la manipularea motoarelor de căutare

Nimbus Manticore s-a concentrat dintotdeauna pe ținte din domeniul apărării, aviației și telecomunicațiilor prin campanii de phishing cu tematică profesională, denumite în mod obișnuit operațiunile „Iranian Dream Job”. Tacticile seamănă foarte mult cu Operațiunea Dream Job, o campanie de inginerie socială de lungă durată, asociată cu actori amenințători nord-coreeni.

Între februarie și aprilie 2026, grupul a executat trei valuri distincte de campanie fără întrerupere, demonstrând un ritm operațional agresiv în timpul conflictului regional.

În februarie 2026, angajații din organizații din domeniul aviației și software din Arabia Saudită și Australia au primit oferte de muncă frauduloase care conțineau arhive ZIP găzduite pe OnlyOffice. Deschiderea unui executabil benign din interiorul arhivei a declanșat deturnarea AppDomain, care a implementat în cele din urmă malware-ul DLL MiniJunk.

În martie 2026, atacatorul a adoptat un lanț de infecție similar, dar a încorporat în proces un program de instalare Zoom cu troian. Programul malware a fost probabil distribuit prin invitații false la întâlniri și, în cele din urmă, a instalat backdoor-ul MiniFast, recent identificat.

În aprilie 2026, Nimbus Manticore a introdus o strategie complet diferită prin implementarea unor tehnici de otrăvire SEO. Operatorii au creat o pagină de descărcare contrafăcută care se făcea pasarelă cu Oracle SQL Developer și au manipulat clasamentele în motoarele de căutare pe Bing și DuckDuckGo prin înregistrarea a numeroase domenii de suport concepute pentru a crește vizibilitatea site-ului.

Aceasta a marcat prima instanță cunoscută în care grupul a abandonat spearphishing-ul tradițional în favoarea distribuției de programe malware bazate pe motoarele de căutare. În loc să vizeze direct victimele prin e-mailuri ademenitoare, atacatorii au așteptat ca dezvoltatorii și personalul IT să caute online software utilizat în mod obișnuit înainte de a livra programele de instalare infectate.

MiniFast Backdoor dezvăluie capacități tehnice în expansiune

MiniFast, cunoscut și sub numele de MiniUpdate, reprezintă o îmbunătățire majoră a arsenalului de malware al Nimbus Manticore. Cercetătorii descriu malware-ul ca pe un backdoor complet funcțional, proiectat pentru acces persistent, executarea comenzilor de la distanță și operațiuni de spionaj pe termen lung.

Înainte de a intra în bucla sa de comandă, malware-ul transmite informații de bază despre sistem către infrastructura sa de comandă și control prin HTTP. Apoi, acesta preia continuu instrucțiuni, încarcă rezultatele execuției, extrage fișiere și descarcă sarcini suplimentare.

Backdoor-ul suportă o gamă largă de capabilități, inclusiv:

• Manipularea fișierelor și enumerarea directoarelor
• Listarea proceselor și terminarea forțată a procesului prin PID
• Executarea comenzilor la distanță prin cmd.exe
• Încărcarea DLL-urilor și crearea arhivei ZIP
• Perseverență prin sarcinile programate
• Escaladarea privilegiilor folosind comanda „runas”
• Intervale de semnal reglabile cu jitter configurabil pentru randomizarea comunicațiilor

Cercetătorii au observat, de asemenea, semne că instrumentele de codare asistate de inteligență artificială ar fi putut contribui la dezvoltarea malware-ului. Dovezile includ gestionarea neobișnuit de detaliată a erorilor, logică de programare defensivă excesivă, convenții de denumire repetitive, mesaje de stare foarte detaliate în stil de depanare și structurare modulară a codului, neobișnuită pentru malware-ul de această amploare și complexitate.

Operațiuni cibernetice mai rapide și mai ample alimentate de conflicte

Experții în securitate cibernetică consideră că aceste campanii demonstrează o evoluție operațională semnificativă pentru Nimbus Manticore. În loc să încetinească ritmul în timpul conflictului geopolitic activ, grupul și-a extins atât ritmul, cât și sofisticarea activităților.

Implementarea rapidă a unui backdoor nou dezvoltat în mijlocul operațiunilor în desfășurare sugerează cicluri accelerate de dezvoltare a programelor malware, potențial susținute de instrumente de inteligență artificială. În același timp, tranziția de la phishing-ul direcționat la otrăvirea SEO reflectă o ambiție mai largă care se extinde dincolo de intruziunile tradiționale axate pe spionaj în Orientul Mijlociu.

Prin combinarea operațiunilor de phishing, a deturnării AppDomain, a dezvoltării de programe malware asistate de inteligență artificială și a manipulării motoarelor de căutare pe parcursul mai multor valuri de campanii, Nimbus Manticore a demonstrat un model de amenințare extrem de adaptiv, capabil să evolueze rapid în perioadele de instabilitate geopolitică.